Из-за ошибки хакеров похищенные ими данные стали доступны через Google

Из-за ошибки хакеров похищенные ими данные стали доступны через Google

Хакеры похитили как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Office 365.

Хакеры, атаковавшие тысячи организаций по всему миру в рамках масштабной фишинговой кампании, забыли защитить свой «улов», в результате чего он стал доступен через поиск Google.

В продолжавшейся более полугода фишинговой кампании использовались десятки доменов с поддельными страницами авторизации Microsoft Office 365. Несмотря на использование очень простых техник, злоумышленникам удавалось успешно обходить фильтры безопасности для электронных писем, благодаря чему они собрали как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365.

Как обнаружили специалисты Check Point и Otorio, изучившие данную фишинговую кампанию, хакеры по ошибке сделали похищенные данные доступными через открытый интернет. По словам экспертов, злоумышленники сохранили похищенную информацию на специально зарегистрированных для этого доменах, но разместили данные в публично доступном файле, и поисковая система Google его проиндексировала.

Исследователи также обнаружили, что злоумышленники взломали легитимные WordPress-серверы с целью использования их для хостинга фишинговых PHP-страниц. Как пояснили эксперты, киберпреступники предпочитают использовать взломанные серверы вместо собственной инфраструктуры из-за хорошей репутации скомпрометированных сайтов.

Изучив информацию примерно из 500 записей, исследователи смогли определить, что жертвами фишинговой кампании чаще всего становились компании в сфере строительства (16,7%), энергетики (10,7%) и информационных технологий были (6,0%).

С целью заманить жертв на мошеннические страницы, злоумышленники использовали в фишинговых письмах несколько тем. В поле «Тема» указывалось имя жертвы или название компании, а во вложении содержалось отсканированное уведомление в формате HTML.

После открытия вложения через web-браузер по умолчанию появлялось размытое изображение, поверх которого открывалась поддельная форма авторизации в Microsoft Office 365. «Этот документ защищен паролем. Пожалуйста, введите пароль», - сообщалось в форме авторизации. Поле имени пользователя уже было заполнено адресом электронной почты жертвы, и у жертвы не возникало никаких подозрений.

Запущенный в фоновом режиме JavaScript-код проверял подлинность введенных жертвой учетных данных, отправлял их на подконтрольный злоумышленникам сервер и для отвлечения внимания переадресовывал жертву на настоящую страницу авторизации в Microsoft Office 365.

Для обхода обнаружения хакеры рассылали фишинговые письма из скомпрометированных почтовых ящиков. К примеру, в одной из атак злоумышленники выдавали себя за немецкого хостинг-провайдера IONOS by 1&1.Хотя фишинговая кампания началась в августе 2020 года, исследователи также обнаружили фишинговые письма, датированные маем 2020 года.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!